身份验证龙头 Okta “又双叒”被黑了，这一次是 GitHub 源码泄露

Posted 2022-12-28 CSDN资讯

整理 | 郑丽媛

出品 | CSDN（ID：CSDNnews）

古往今来，向来是“树大招风”——这个词来形容国际身份验证龙头厂商 Okta 今年频繁被黑客入侵的遭遇，或许再合适不过。

今年 3 月，曾黑入 Nvidia、三星等知名公司的黑客组织 Lapsus$ 声称，它可以访问 Okta 的管理控制台和客户数据，还在 Telegram 上发布了其盗取数据的截图为证。随后，Okta 承认黑客攻击可能会影响其 2.5% 的客户。

当时，Okta 的客户数超过 15000 个，包括西门子、联邦快递、T-Mobile、马自达等企业，2.5% 即意味着约有 375 个组织可能存在安全隐患。好在，Okta 又在 4 月澄清说，黑客攻击只在 1 月份持续了 25 分钟，最终也只有 2 个客户确实受到了影响。

可好景不长，今年 8 月又有第三方通知 Okta，称其拥有 2020 年 10 月及更早的 Auth0 代码库副本（Okta 于 2021 年 3 月以 65 亿美元收购了 Auth0），即 Auth0 部分源代码存储库已经泄露。不过后来经调查，并未发现什么实质性影响。

结果，好不容易步入 2022 年的尾声，据外媒 BleepingComputer 报道，本月 Okta “又双叒”被黑了，这次遭殃的是它的私有 GitHub 存储库。

目前对所有客户都没有影响

上周，Okta 首席安全官 David Bradbury 向客户发布了一份“秘密”安全通知，其中讲到：“2022 年 12 月初，GitHub 向 Okta 发出警告，称 Okta 代码库遭到了可疑访问。经过调查，我们发现这种非法访问被用来复制 Okta 代码存储库。”

据 BleepingComputer 调查核实，已确认除了客户之外，多个来源（包括 IT 管理员）也收到了这封邮件。从邮件透露的消息可以看出，本次源代码泄露事件主要与 Okta 的劳动力身份云（WIC）代码库有关，跟 8 月就曾泄露的 Auth0 代码库无关。

得知其私有 GitHub 存储库存在可疑访问，Okta 方面立即对其存储库设置了临时访问限制，并暂停了所有 GitHub 与第三方应用程序的集成。紧接着，Okta 便开始着手审查近期对其 GitHub 存储库的所有访问记录和提交记录，在掌握泄露范围的同时，验证其源代码的完整性，还更改了 GitHub 凭据并通知了相关执法部门。除此之外，Okta 还采取了一定措施确保泄露的代码无法用于访问公司和客户数据。

因此，虽然代码库遭到泄露，但 Okta 表示目前攻击者尚未对 Okta 服务或客户数据进行未经授权的访问，同时 Okta 也并不完全依赖源代码来保证其服务的安全性。于是在邮件开头，Okta 便强调：“这对所有客户都没有影响，包括 HIPAA、FedRAMP 和国防部客户，不需要客户们采取任何行动。Oktas 服务仍在正常运行并保证安全。”

至于为什么没有负面影响仍发送这封邮件通知，Okta 解释：“我们决定分享这一信息，因为要符合我们对透明度和与客户合作的承诺。”

“Okta 被开源了？”

身为全球 IAM（Identity and Access Management，身份识别与访问管理）龙头，今年 Okta 的频繁被黑，令网友们都感到颇为无奈了，往好处看可能是这些事件至今还未造成什么大范围影响。

而对于此次 Okta 私有 GitHub 存储库泄露，部分网友却并不乐观：“值得注意的是，泄露源代码本身并不是一个安全漏洞。如果没有其他安全漏洞，那么代码就不可利用。可是，这些代码也可能会让黑客找到其他预先存在的安全问题。”

还有一些人调侃道，Okta 变成“开源”的了：“现在，Okta 是开源的”，“准确来说，是被开源的”。

参考链接：

• https://www.bleepingcomputer.com/news/security/oktas-source-code-stolen-after-github-repositories-hacked/

• https://www.reddit.com/r/technology/comments/zreqb3/oktas_source_code_stolen_after_github/

☞刘强东痛批京东中高层拿 PPT 欺骗自己；拼多多海外版成美国下载量最高应用；腾讯加入 RISC-V 基金会|极客头条
☞下任推特 CEO 或是“卷王”？在马斯克手下 20 年，每天工作 16 个小时，还带着家人住办公室！
☞研究老式计算技术的乐趣